几年前,厂商声称他们可以在单个设备中提供多种安全功能(包括入侵防御系统功能和应用程序控制),然后我们看到下一代防火墙开始上升。在对当前下一代防火墙(NGFW)市场的研究中,专家表示并非每个NGFW都提供每个企业想要的功能,而且在某些情况下,功能太多可能不是一件好事。IT分析公司Gartner在4月份发布了企业网络防火墙魔力象限报告。报告显示,来自CheckPoint和PaloAlto的NGFW产品是当之无愧的市场领导者。来自Fortinet、Cisco和JuniperNetworks的NGFW设备都被Gartner命名为挑战者,而十几家供应商被认为是利基供应商。Gartner研究副总裁、防火墙魔力象限报告的作者之一GregYoung表示,CheckPoint和PaloAlto从众多竞争对手中脱颖而出,因为它们提供了广泛的产品功能,并且可以有效地扩展到大规模扩展企业环境。这是许多利基供应商的问题。尽管具有这些竞争优势,但这些领先的??NGFW绝不是完美的。他指出,CheckPoint和帕洛阿尔托的NGFW非常昂贵,企业甚至无法利用它们提供的所有安全功能。例如,在其魔力象限报告中,Gartner表示大多数CheckPoint客户只需要供应商的软件刀片订阅服务即可激活典型的NGFW功能,包括IPS、应用程序控制和用户身份功能,但不需要电子邮件。安全和数据丢失防护等功能不是可选的。Young表示,在很多情况下,除了这两家顶级厂商之外,一些知名度较低的NGFW厂商往往可以提供性价比更高的产品,只提供企业需要的功能,让企业可以根据自己的需求进行定制。最佳选择。“没有万能的产品,不同的产品适用于不同的用例,”Young说。更快。”更多功能,更多问题虽然具有许多功能的NGFW可能对某些企业更具吸引力,但Young警告说,启用所有这些功能可能会导致性能下降。Young指出,一些下一代防火墙供应商最近添加了Web反-恶意软件作为卖点。但是启用该功能会影响NGFW设备的性能,杀毒软件更适合保护Web网关或NGFW以外的其他安全产品。“单一控制台视图很棒,但并非所有内容都应该在一台设备中,”Young说。“许多下一代防火墙都具有防病毒功能,但我们发现大多数企业并不太喜欢这种功能。”独立IT测试公司Miercom的首席执行官罗伯特·史密瑟斯(RobertSmithers)表示,许多NGFW产品在开启额外功能时会出现性能下降的情况。史密瑟斯说,他的公司测试了十几种下一代防火墙,发现在所有相关功能都打开时,Sophos的产品性能最好,Intel的McAfee的产品也表现不错。Smithers建议目前正在评估NGFW的企业应考虑将在其环境中使用哪些功能,并研究当所有必需功能都打开时产品的性能。“当你打开所有这些功能时,一切都会变慢。10Gbps的产品变成了3Gbps的产品,”Smithers说,并指出统一威胁管理设备(UTM)比NGFW更适用于SMB,尽管他很少看到部署UTM在大型企业环境。“我看到下一代防火墙供应商试图拥有一切,他们说,'等一下,你不需要防病毒软件,'”Smithers继续说道。“我不确定告诉你真相是否是正确的做法。”NGFW是您的正确选择吗?Young表示,价格、功能和性能似乎是企业寻求购买NGFW设备的最重要因素,许多企业并没有花足够的时间考虑能否有效部署下一代防火墙。例如,应用程序控制是NGFW相对于传统防火墙的主要功能之一,但如果企业没有适当的策略,它就不是很有用。一些企业仅仅因为NGFW功能可用就启用了这些功能,但要充分利用这些产品,企业需要内部专家来调优设备。在某些情况下,企业可能需要特定的专家。例如,Smithers指出,CheckPoint系统必须由CheckPoint专家部署,这可能会让一些企业犹豫不决。在部署NGFW之前,企业还必须考虑部署的网络类型,因为这种产品通常会在扁平网络中产生大量告警。“我们确实看到人们淹没在警报中,”Young说,“所以如果你无法处理大量警报,那意味着你可能还没有准备好部署NGFW设备。”
